Programul Bug Bounty

FlowHunt își propune să mențină serviciul său sigur pentru toată lumea, iar securitatea datelor este de cea mai mare importanță. Dacă ești cercetător în securitate și ai descoperit o vulnerabilitate de securitate în Serviciu, apreciem ajutorul tău dacă ne informezi în mod privat și ne oferi oportunitatea să o remediem înainte de a publica detalii tehnice.

FlowHunt va colabora cu cercetătorii în securitate atunci când vulnerabilitățile sunt raportate conform celor descrise aici. Vom valida, răspunde și remedia vulnerabilitățile, susținând angajamentul nostru față de securitate și confidențialitate. Nu vom lua măsuri legale împotriva, suspenda sau întrerupe accesul la Serviciu pentru cei care descoperă și raportează vulnerabilități de securitate în mod responsabil. FlowHunt își rezervă toate drepturile legale în cazul oricărei neconformități.

Eligibilitate

Pentru a fi eligibil în programul nostru bug bounty, trebuie să:

• Ai cel puțin 18 ani
• Să nu fii angajat, contractor sau membru al familiei apropiate al FlowHunt, actual sau fost
• Să nu fii supus sancțiunilor SUA sau să locuiești într-o țară embargată de SUA
• Să respecți toate legile și reglementările aplicabile
• Să urmezi practicile de dezvăluire responsabilă

Raportare

Trimite detaliile oricăror vulnerabilități suspectate către Echipa de Securitate FlowHunt la support@flowhunt.io . Te rugăm să nu faci publice aceste detalii în afara acestui proces fără permisiunea explicită.

Cerințe pentru calitatea raportului

Raportul tău de vulnerabilitate ar trebui să includă:

• Sumar: O scurtă descriere a vulnerabilității
• Impact: Impactul potențial asupra securității și riscul pentru afacere
• Pași de reproducere: Instrucțiuni detaliate, pas cu pas
• Dovadă de concept: Dovezi care demonstrează vulnerabilitatea
• Active afectate: URL-uri, parametri sau componente specifice
• Evaluarea severității: Evaluarea ta privind nivelul de severitate
• Sugestii de remediere: Recomandări de remediere (opțional)

Dacă dorești să trimiți mai multe rapoarte simultan, te rugăm să trimiți doar unul (cel mai important, dacă este posibil) și să aștepți răspunsul.

Timp de răspuns

• Confirmare: În maxim 5 zile lucrătoare de la trimiterea raportului
• Evaluare inițială: În maxim 10 zile lucrătoare
• Termen de remediere: În 90 de zile pentru vulnerabilități valide
• Actualizări: Actualizări regulate privind stadiul pe parcursul procesului

Compensații

Suntem bucuroși să oferim o recompensă pentru informațiile despre vulnerabilități care ne ajută să ne protejăm clienții, ca mulțumire pentru cercetătorii de securitate care aleg să participe la programul nostru bug bounty.

Clasificare severitate

Severitate critică (100$):

• Execuție de cod la distanță
• SQL injection care duce la accesarea datelor
• Ocolirea autentificării care afectează mai mulți utilizatori
• Escaladarea privilegiilor la nivel de administrator
• Preluarea completă a unui cont

Severitate medie (50$):

• Cross-site scripting (XSS) cu impact semnificativ
• Ocolirea controlului accesului care afectează date limitate
• Traversare directoare cu acces la fișiere
• Vulnerabilități în gestionarea sesiunilor
• Autentificare defectuoasă care afectează utilizatori individuali

Severitate scăzută (Neeligibil pentru recompensă):

• Divulgare minoră de informații
• Self-XSS fără vector de atac realist
• Probleme de limitare a ratei
• Lipsa headere-lor de securitate fără impact exploatabil

Termeni de plată

• Recompensele sunt plătite exclusiv prin PayPal
• Vânătorii de bug-uri trebuie să genereze și să trimită o factură PayPal
• Nu sunt disponibile alte metode de plată
• Procesarea plății se face în termen de 30 de zile de la primirea facturii
• Toate plățile sunt supuse reglementărilor fiscale aplicabile

Vom recompensa doar primul raportor al unei vulnerabilități. Orice raporturi duplicate nu vor fi recompensate.

Domeniul de aplicare

În domeniul de aplicare

Poți testa doar pe un cont FlowHunt pentru care ești Proprietarul Contului sau un Agent autorizat de Proprietarul Contului să efectueze asemenea testări. De exemplu: domeniultău.flowhunt.io

Active eligibile:

• Domeniile și subdomeniile *.flowhunt.io
• Aplicațiile web și API-urile FlowHunt
• Aplicațiile mobile FlowHunt (dacă este cazul)

Tipuri de vulnerabilități eligibile:

• Execuție de comenzi la distanță (RCE)
• SQL Injection
• Autentificare defectuoasă
• Gestionare defectuoasă a sesiunilor
• Ocolirea controlului de acces
• Cross-Site Scripting (XSS)
• Redirecționare URL deschisă
• Traversare directoare
• Server-Side Request Forgery (SSRF)
• Defecte de logică de business

În afara domeniului de aplicare

Activități interzise:

• Atacuri de tip social engineering (phishing, vishing etc.)
• Atacuri fizice sau acces fizic la sediile FlowHunt
• Atacuri de tip Denial of Service (DoS) sau Distributed Denial of Service (DDoS)
• Spam, comunicări în masă sau instrumente automate împotriva sistemelor noastre
• Atacuri la nivel de rețea sau scanări de infrastructură
• Atacuri ce necesită acces fizic la dispozitivele utilizatorilor
• Atacuri de tip brute force sau spargerea parolelor
• Testare pe conturi pe care nu le deții sau nu ai permisiune explicită să le testezi

Constatări neeligibile:

• Rapoarte în care atacatorul poate amenința doar propriul cont
• XSS cauzat de un administrator sau utilizator privilegiat
• Vulnerabilități care necesită interacțiune puțin probabilă a utilizatorului
• Probleme care necesită ca utilizatorul să instaleze software malițios
• Vulnerabilități teoretice fără cale clară de exploatare
• Spoofing de conținut fără impact asupra securității
• Lipsa limitării ratei fără impact demonstrabil
• Probleme care afectează doar browsere sau platforme învechite

Reguli ale programului

Ghid de testare

• Testează doar pe conturi pe care le deții sau ai permisiune explicită să le testezi
• Nu accesa, modifica sau șterge date care aparțin altor utilizatori
• Nu perturba serviciile noastre și nu degrada performanța acestora
• Limitează testarea automată pentru a preveni întreruperile de serviciu
• Nu face publice vulnerabilitățile înainte ca acestea să fie remediate
• Depune eforturi de bună credință pentru a evita încălcarea confidențialității și distrugerea datelor

Safe Harbor & Protecție legală

FlowHunt se angajează să:

• Nu inițieze acțiuni legale împotriva cercetătorilor care respectă această politică
• Colaboreze cu cercetătorii pentru a înțelege și valida problemele de securitate
• Recunoască contribuțiile valide aduse securității noastre
• Mențină confidențialitatea și să nu dezvăluie identitatea cercetătorului fără permisiune

Cercetătorii trebuie să:

• Respecte toate legile și reglementările aplicabile
• Acceseze doar datele necesare pentru a demonstra vulnerabilitatea
• Raporteze vulnerabilitățile prompt și cu bună credință
• Nu exploateze vulnerabilitățile mai mult decât este necesar pentru demonstrație

Cronologia dezvăluirii

• Imediat: Raport trimis la support@flowhunt.io
• 90 de zile: Cronologie standard de dezvăluire după raportarea inițială
• Coordonat: Dezvăluire publică doar după acordul mutual
• Urgență: Vulnerabilitățile critice pot avea termene accelerate

Cercetătorii pot face publice vulnerabilitățile la 90 de zile după raportarea inițială sau după ce FlowHunt confirmă remedierea, oricare dintre acestea survine prima. Încurajăm dezvăluirea coordonată și vom colabora cu cercetătorii pentru stabilirea momentului adecvat.